HTTP Header 解析在线工具
HTTP Header 解析工具逐项拆解请求头和响应头,展示 Cache-Control、CSP、CORS、Cookie、Set-Cookie、Forwarded 等常见头字段的指令含义、时长换算和安全提示。
功能介绍
解析器逐行识别请求头与响应头,并针对 Cache-Control、Content-Security-Policy、CORS、Cookie、Set-Cookie、Forwarded、X-Forwarded-For 和 HSTS 等字段解释指令、换算时长、拆解属性并给出安全提示。
常见任务包括排查缓存策略:查看 max-age、no-cache 等指令的实际效果、审查 CSP 策略并识别 unsafe-inline 等风险配置、调试 CORS 跨域问题和预检响应头、检查 Set-Cookie 的 SameSite、Secure、HttpOnly 属性、分析 Forwarded、X-Forwarded-For 等代理转发链路。这些场景看似相近,但输入格式、处理边界和目标系统要求可能不同,使用前应先确认数据来源与期望输出,再根据页面结果做实际验证。
可直接粘贴标准“名称: 值”格式,也支持保留请求行、状态行及 curl -v 输出中的尖括号前缀。解析结果按字段组织,便于从一大段报文中快速定位缓存、跨域、Cookie 和代理链问题。页面现有说明还回答了以下常见疑问:“支持粘贴哪些格式的 Header?”支持每行一个「名称: 值」的标准格式,可以保留请求行(GET / HTTP/1.1)、状态行(HTTP/1.1 200 OK)以及 curl -v 输出中的 > 和 < 前缀,工具会自动清理。 “X-Forwarded-For 里的 IP 可信吗?”不一定。该头可以被客户端伪造,只有由可信代理追加的部分才有参考价值,鉴权和风控不应直接信任它。
使用方法
- 从浏览器开发者工具、curl 或日志中复制完整 Header 到输入区;
- 执行解析并按字段查看拆分结果,优先检查与当前问题相关的缓存、CORS、CSP 或 Cookie;
- 根据时长换算和风险提示回到服务端配置核对,必要时与正常响应做对比;
- 修正配置后重新请求并再次解析,确认实际响应头已经按预期变化。
注意事项
- 解析结果是配置辅助说明,不会模拟浏览器完整安全策略;CSP、缓存和 Cookie 行为仍以真实客户端为准。
- X-Forwarded-For 等字段可以被客户端伪造,只有可信代理追加的部分才可用于安全判断。
- 所有报文在浏览器本地解析,不会上传;即便如此,粘贴前仍建议移除 Authorization、Cookie 和内部 Token。
常见使用场景
- 排查缓存策略:查看 max-age、no-cache 等指令的实际效果
- 审查 CSP 策略并识别 unsafe-inline 等风险配置
- 调试 CORS 跨域问题和预检响应头
- 检查 Set-Cookie 的 SameSite、Secure、HttpOnly 属性
- 分析 Forwarded、X-Forwarded-For 等代理转发链路
常见问题
支持粘贴哪些格式的 Header?
支持每行一个「名称: 值」的标准格式,可以保留请求行(GET / HTTP/1.1)、状态行(HTTP/1.1 200 OK)以及 curl -v 输出中的 > 和 < 前缀,工具会自动清理。
X-Forwarded-For 里的 IP 可信吗?
不一定。该头可以被客户端伪造,只有由可信代理追加的部分才有参考价值,鉴权和风控不应直接信任它。
解析会上传我的数据吗?
不会。解析完全在浏览器本地完成,Cookie、Token 等敏感内容不会发送到服务器。